A principios de este año, implementamos un nuevo sistema para gestionar los objetos criptográficos asociados al sistema RPKI (Infraestructura de Llave Pública de Recursos) de LACNIC. Este sistema introduce mejoras significativas en la seguridad del proceso, siendo una de las principales la gestión de la llave principal, utilizada como punto de confianza para validar la información.
Estos periodos de activación se denominan “Ceremonias de Firmado de RPKI”. Durante estas ceremonias, parte del staff de LACNIC obtiene acceso temporal a la llave principal para realizar operaciones críticas que deben ser auditables, repetibles y libres de errores por omisión o descuido. Para garantizar la correcta ejecución de estas actividades, utilizamos una lista de verificación o Checklist que asegura que cada paso se realice con precisión, brindando transparencia y permitiendo la auditoría por parte del equipo interno de LACNIC.
Hasta la fecha, hemos llevado a cabo tres ceremonias de firma con la participación de integrantes de distintas áreas. Estas ceremonias se realizan en ambientes controlados, como la oficina de la Casa de Internet en Uruguay, bajo estrictas medidas de seguridad y con la presencia de testigos que certifican el proceso.
Para optimizar la creación y gestión de estas listas de verificación, estamos desarrollando una aplicación de código abierto llamada CheckList, disponible para la comunidad. Esta herramienta permite a los desarrolladores definir los pasos de una lista en un archivo de texto en formato YAML, documentándolos en texto plano o utilizando Markdown. Además, es posible incluir comandos para ejecutarlos directamente en la línea de comandos y mostrar el resultado esperado.
Una vez creada, la lista puede publicarse en cualquier servidor web. La aplicación permite llevar un control del progreso, marcar pasos completados y registrar incidentes o excepciones durante la ejecución. Al finalizar, se genera un documento oficial que puede imprimirse o almacenarse en formato digital, facilitando la auditoría y asegurando un registro transparente.
Los invitamos a visitar la página del proyecto aquí o consultar un ejemplo de checklist.
________________________________________________
Como parte de nuestro servicio de vulnerabilidades emergentes, realizamos un monitoreo proactivo del perímetro de nuestros clientes para identificar, detectar y notificar de manera urgente la presencia de esta y otras amenazas críticas que puedan comprometer la seguridad de sus activos. 🛡️🌐
¡Gracias por confiar en nosotros como su aliado! 🔒 Juntos estamos construyendo un mundo digital más seguro.
